Что: 8ab7c2bacd0166be1bf03f2ba0ed3f33c5d861e9
Когда: 2024-02-25 15:09:25+03:00
Темы: crypto hate
Анализ PQ3 в стиле Хабра https://habr.com/ru/articles/796065/ Просто позорнейшая и постыднейшая статья. Не, я сам недавно упоминал PQ3 алгоритм от Apple (f3f761c7479fc29876ee97502684fd06b74867b8), но только в том плане, что бросаются громкими словами, но без какой-либо критики в криптографическом и техническом плане. Это просто некий state-of-art протокол с постквантовыми алгоритмами, ratcheting и постоянным добавлением энтропии в ключевой материал эфемерными ключами. Ничего революционного, но и ничего плохого -- наоборот хорошо что современный и учитывающий современные реалии, молодцы. Автор пишет, что подробностей на каком-то ресурсе о деталях протокола не дали. Пошёл искать дальше на ещё один какой-то сайт. А в чём проблема зайти на сам Apple? Там не то что полное описание протокола в деталях, но и криптоанализы есть. Это так назвали шифрование поверх обычного RSA, с временными ключами? Да его в чистом виде то никогда и не было, всегда совместно использовались обычные симметричные ключи и алгоритм Диффи Хеллмана, ибо есть свои уязвимости. Причём тут RSA? Его там и в помине нет. Почему чистого RSA никогда и не было? Как-раз таки его полным полно везде и всюду было. Лишь относительно недавно его официально стали выпиливать из таких протоколов как TLS 1.3. Какие уязвимости даже при использовании "обычного" RSA? Сложности -- да. Уязвимости? Нет, не поэтому стараются сейчас DH использовать. HTTPS и MTPROTO (Telegram) самые популярные примеры, у Signal (Signal и Whatsapp) вроде похожий принцип. Не HTTPS, а TLS. MTProto лучше бы не позориться, даже его упоминанием. У Signal похожий принцип? Да именно в нём впервые как-раз и было популяризованы идеи ratcheting и полной замены подписей для аутентификации тройным (а дальше и больше) DH. Постквантовые ключи? Это тот же RSA, только генерация ключей на эллиптических кривых, которые не так просто даются алгоритму Шора и выдают ту же стойкость при меньшем размере. Какой, @#$%, RSA то опять? Его там даже близко нет. Автор считает что постквантовые ключи это нечто основанное на эллиптических кривых (ECC)? Что за бред? Конкретно в PQ3 используется Kyber, не имеющий никакого отношения к ECC, принципиально иной алгоритм (cc0b820a5564d3ad136183951b882bf31c5ab606). Но он используется гибридно совместно с ECC -- если один из них поломается, то вся система не летит к чертям. Кроме того, ECC тривиально ломается на (гипотетическом) квантовом компьютере, ничуть не сложнее чем RSA. В общем, автор написал полнейшую х@йню и ждёт комментариев, чтобы ему рассказали азы прикладной криптографии, и тыкнули в его бред сивой кобылы.
Сгенерирован: SGBlog 0.34.0